发布日期：2007-02-22
更新日期：2007-02-25

受影响系统：

IBM DB2 Universal Database 9.1
IBM DB2 Universal Database 8.x

不受影响系统：

IBM DB2 Universal Database 9 Fix Pack 2

描述：

---

IBM DB2是一个大型的商业关系数据库系统，面向电子商务、商业资讯、内容管理、客户关系管理等应用，可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。

几个setuid-root二进制程序中存在不安全文件访问漏洞。具体来讲，在提供DB2INSTANCE环境变量时，setuid-root DB2管理二进制程序会使用指定用户的主目录加载配置数据，这允许攻击者通过创建特定的执行环境创建或附加任意文件。此外，还可以利用用户的umask设置创建root所有的完全可写文件。

请注意攻击者无法完全控制所写入数据的内容，但这不会对利用这个漏洞造成很大的影响。

<*来源：iDEFENSE
  
  链接：http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=480
*>

建议：

---

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www-1.ibm.com/support/docview.wss?uid=swg21255745

浏览次数：3327
严重程度：0（网友投票）